Trojan.X97M.ORCINIUS.PRL

2025年8月12日

分析者: Paolo Ronniel Labrador

Trojan:O97M/Madeba.A!det (MICROSOFT)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
In the Wild:
是的

概要

感染途徑: 从互联网下载、由其他恶意软件释放

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

它不具备任何传播功能。

它不具备任何后门功能。

它不具备任何信息窃取功能。

然而截至本文撰写时，上述网站均已无法访问。

技术详细信息

文件大小: 81,251 bytes

报告日期: XLSX

初始樣本接收日期: 2025年7月30日

Payload: 连接URL/IP地址、下载文件, 修改系统注册表

Arrival Details

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

其他系统修改

该木马程序会修改以下注册表项：

HKCU\Software\Microsoft\
Office\{version}\Excel\
Security
VBAWarnings = 1

注：该注册表项的默认值为 2.)

HKCU\Software\Microsoft\
Office\{version}\Word\
Security
VBAWarnings = 1

注：该注册表项的默认值为 2.)

Propagation

该木马程序不具备任何传播功能。

Backdoor Routine

该木马程序不具备任何后门功能。

Rootkit Capabilities

该木马程序不具备Rootkit功能。

下载例程

此木马程序会访问以下网站以下载文件：

https://{BLOCKED}ogle.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
https://www.{BLOCKED}x.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

它会使用以下名称保存下载的文件：

%User Temp%\~$cache1.exe

(Note: %User Temp% 是当前用户的临时文件夹,通常位于此路径 C:\Documents and Settings\{user name}\Local Settings\Temp 在Windows 2000（32位）、XP及Server 2003（32位）系统上，或 C:\Users\{user name}\AppData\Local\Temp 在Windows Vista、7、8、8.1、2008（64位）、2012（64位）及10（64位）系统上。）

Information Theft

该木马程序不具备任何信息窃取功能

其他信息

该木马程序会执行以下操作：

It prevents saving of workbook when no changes are made.
It tries to execute and copy %User Temp%\~$cache1.exe from one of the sources:
- {malware path}\~$cache1
- {malware path}\Synaptics.exe
It attempts to execute:
- %ProgramData%\Synaptics\Synaptics.exe
- %Windows%\Synaptics\Synaptics.exe
It tries to copy {malware path}\Synaptics.exe to the following file:
- {malware path}\~$cache1

(Note: %User Temp% 是当前用户的临时文件夹,通常位于此路径 C:\Documents and Settings\{user name}\Local Settings\Temp 在Windows 2000（32位）、XP及Server 2003（32位）系统上，或 C:\Users\{user name}\AppData\Local\Temp on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) and 10(64-bit).. %Windows% 是Windows文件夹, 通常位于此路径 C:\Windows 适用于所有Windows操作系统版本。）

然而截至本文撰写时，上述网站均已无法访问。

它不会利用任何漏洞。

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 20.404.02

VSAPI 第一样式发布日期: 2025年8月19日

VSAPI OPR样式版本: 20.405.00

VSAPI OPR样式发布日期: 2025年8月20日

Step 1

亚信安全测性机器学习可在恶意软件初现时、尚未在系统执行前便及时检测并拦截。启用此功能后，您的亚信安全产品会使用以下机器学习命名标识检测该恶意软件：

Downloader.VBA.TRX.XXVBAF01FF067

Step 2

在进行任何扫描之前，Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作：禁用 系统还原 以便对电脑进行全面扫描。

Step 3

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 4

还原已修改注册表值。

[ 更多 ]

Important: 编辑 Windows Registry 操作不当可能导致系统出现无法恢复的故障。请务必仅在您熟悉相关步骤的情况下执行；如有疑问，可寻求系统管理员的协助。否则，请查看下方链接。 Microsoft article 修改计算机注册表前请务必先进行此操作.

HKCU\Software\Microsoft\Office\{version}\Excel\Security\

VBAWarnings = 2

HKCU\Software\Microsoft\Office\{version}\Word\Security\

VBAWarnings = 2

请按以下步骤操作=

要恢复被该恶意/灰色软件修改的注册表值，请执行以下操作：

打开注册表编辑器。
» 对于 Windows 7 和 Server 2008 (R2) 用户，请点击 Start button, type regedit in the Search输入字段，然后按下Enter.
» 对于 Windows 8、8.1、10 及 Server 2012 (R2) 用户，请右键单击屏幕左下角，点击 Run, type regedit 在提供的文本框中，然后点击 Enter.
关闭注册表编辑器。

Step 5

搜索并删除这些文件

[ 更多 ]

某些文件可能被隐藏，请务必勾选 搜索隐藏的文件和文件夹 勾选框 "更多进阶选项" 选项，以在搜索结果中包含所有隐藏的文件和文件夹。

%User Temp%\~$cache1.exe
{malware path}\~$cache1
{malware path}\Synaptics.exe
%ProgramData%\Synaptics\Synaptics.exe
%Windows%\Synaptics\Synaptics.exe

请按以下步骤操作=

要删除恶意软件/灰色软件文件：

适用于 Windows 7、Server 2008 (R2)、8、8.1、10 及 Server 2012 (R2) 系统：

打开 Windows 资源管理器窗口。
- 对于 Windows 7 和 Server 2008 (R2) 用户：点击Start>Computer.
- 对于Windows 8、8.1、10及Server 2012用户, 右键单击屏幕左下角，然后点击 File Explorer.
在搜索计算机/此电脑输入框中，键入：
%User Temp%\~$cache1.exe
{malware path}\~$cache1
{malware path}\Synaptics.exe
%ProgramData%\Synaptics\Synaptics.exe
%Windows%\Synaptics\Synaptics.exe
定位到该文件后，选中并按 SHIFT+DELETE 将其删除。
对所有列出的文件重复上述步骤。
*Note:阅读以下微软官方页面若上述步骤在 Windows 7 和 Server 2008 (R2) 系统上无效：

Step 6

使用您的亚信安全产品扫描电脑，删除被检测为以下名称的文件 Trojan.X97M.ORCINIUS.PRL. 若亚信安全产品已将检测到的文件清除、删除或隔离，则无需再执行任何额外步骤；您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面：